search
x-twitterlinkedin

🔐2FA Bypass

hashtag
2FA code leak en HTTP Response:

Interceptar OTP en Burpsuite e inspeccionar la HTTP response y buscar leak del código.

hashtag
Análisis de archivos JS:

Analizar archivos JS incluidos en la respuesta en busca de información acerca del 2FA.

hashtag
Sin protección contra Brute-Force:

  • Escribir código test del 2FA y capturar la Request con Burpsuite.

  • Enviar la Request al Intruder y mandarla 100-200 veces para comprobar si hay protección.

  • Aplicar fuerza bruta.

hashtag
Falta de integridad en la validación del 2FA code:

  • Solicita un código 2FA desde una cuenta de atacante.

  • Usa ese código en la Petición de la víctima.

hashtag
2FA Refer Check Bypass:

  • Navegar a la página posterior a la autenticación 2FA u otra que requiera autenticación.

  • Si no hay éxito, modificar el campo de la cabecera Referer por la URL de la página del 2FA.

hashtag
Activar 2FA Doesn’t Expire Previous Session:

  • Si el atacante secuestra una sesión activa antes del 2FA, es posible realizar todas las acciones sin la necesidad del 2FA.

hashtag
Clickjacking en deshabilitar 2FA:

  • Intentar iframear la página en la que se desactiva el 2FA.

hashtag
Manipulación de la Response:

  • Revisa la Response de la Petición 2FA.

  • Cambia el campo 'Success:false' a TRUE.

hashtag
Manipulación del Status Code:

  • Comprueba si el Código de Estado es 4xx

  • Cambia el Código de Estado en la Response a '220 OK'.

hashtag
2FA Code Reusable:

  • Request a 2FA code and use it.

  • Re-use the same 2FA code in another session and if it authenticated successfully, that’s a potential issue.

  • Solicita un Código 2FA de una cuenta test y úsalo.

  • Reusa el mismo código en otra sesión de la misma cuenta.

  • Si se autentifica correctamente, es una potencial falla de seguridad.

hashtag
CSRF en deshabilitar 2FA:

  • Navigate to 2FA Page and click on “Disable 2FA” and capture this request with Burp Suite & generate a CSRF PoC.

  • Send this PoC to the victim, and check if CSRF happens successfully and remove the 2FA from the victim account.

  • Capturar Request de Deshabilitar 2FA con Burpsuite y generar una CSRF PoC.

  • Enviar PoC a la víctima y comprobar si deshabilita el 2FA de su cuenta.

Última actualización